Утечка данных на Olerex: базу данных скачал эстонец, ИТ-специалист

Заправка Olerex. Иллюстративное фото.

ФОТО: Mihkel Maripuu / EESTI MEEDIA/SCANPIX

Вчера Департамент государственной инфосистемы (RIA) начал производство по факту утечки данных клиентской базы в отношении топливной фирмы Olerex, пишет Postimees.

Руководитель службы кибербезопасности RIA Уку Сяреканно сказал Postimees, что инициатором расследования стала его служба, а решение о начале производства приняли вчера.

Следствие должно выяснить, как стало возможным, что база данных коммерческих клиентов Olerex в течение полутора месяцев оставалась открытой для скачивания. В числе прочего, база данных содержала информацию о картах клиентов и их ответственных пользователях.

RIA хочет проверить безопасность инфосистемы Olerex AS и связанного с ней инфооборудования.

По словам Уку Сяреканно, уже точно известно, что одно из таких скачиваний данных произошло 9 июля. Причем, скачивающим был не тайный преступник, а специалист в области инфобезопасности одного известного эстонского предприятия, который сообщил об этом и Olerex. Он утверждает, что не поделился базой данных ни с кем, удалил ее и не оставил себе копии.

«Точные обстоятельства – количество скачиваний, причины и время - будут установлены в ходе следствия»,- сказал Сяреканно. И хотя предварительная информация дает основания утверждать, что данные скачали 71 раз с разных IP-адресов, после уточнения оказалось, что данные предположительно скачал один человек.

Неясно на сегодняшний день и то, насколько обширной была скачанная база данных. Стороны говорят о 100 000 клиентах, или данных о 100 000 сделок.

Сособственник Olerex Антти Моппель отказался вчера комментировать что-либо связанное со случившемся: «Ваши вопросы переданы нашим специалистам, которые в нужное время все прокомментируют».

Три случая

В июле в Эстонии было уже три случая крупной утечки баз данных.

Информация о втором крупном случае поступила в RIA также 9 июля, когда Тартуская городская управа сообщила о проблемах с безопасностью в базе данных фирмы Bewegen, дающей в аренду велосипеды.

Из-за нее с момента начала работы и до 9 июля, когда ошибка была исправлена, не идентифицируясь можно было добраться до данных более 20 000 пользователей. Доступными были имена, адреса электронной почты, телефонные номера и ИД пользователей, также было видно, куда они ездили. В доступе оказались личные коды 7180 пользователей, поскольку их аккаунты были соединены с автобусными картами.

О первой утечке данных RIA узнал от журналистов 3 июля. Открытыми оказались каталоги, содержащие личные данные, почти 14 000 пользователей э-магазина Charlot.

«Поскольку наряду с телефонными номерами, именами и адресами электронной почты пользователей был открыт доступ к текстовой версии паролей, пользователи магазина должны поменять свои пароли. Более чем вероятно, что придуманный для входа в э-магазин пароль используется и в других средах. Если эти данные попадут к киберпреступникам, то, зная э-мейл и пароль, они могут попасть и в другие среды», - подчеркнул Сяреканно.

НАВЕРХ